Page 10 - 銀行家雜誌第103期

P. 10

名家觀點
View Point

金融業如何因應

歐盟GDPR的金科玉律

蒐集或處理的目的已無必要、資料主體已拒
一、歐盟制定新規章強化個人資料保護
絕其個人資料之處理、已撤回其同意或個人
歐洲議會及歐盟理事會於 2016 年 4 月 27 資料處理違反「一般資料保護規則」時，資
日通過歐盟規則第 2016 ／ 679 號「一般資料保料主體有權請求資料控管者不再處理其個人
護規則」（General Data Protection Regulation），資料。
取代於 1995 年 10 月 24 日所制定之歐盟指

令第 95 ／ 46 ／ EC號「個人資料保護指令」（三）資料主體具有攜帶權
（Personal Data Protection Directive），並自 2018 為強化資料主體對自己資料的掌控，當個
年 5 月 25 日起正式施行。茲就其變革之主要重人資料以自動化手段執行處理時，資料主體
點說明之。應有權以結構性、廣泛使用性、機器可讀性
及可共同操作性的格式，接收其提供予資料
（一）個人資料處理必須取得資料主體的明確控管者的資料，並有權將之傳送給其他資料
同意控管者。亦即，資料主體有權以便於將來使

所謂的資料主體的同意，必須依其意思決用的方式，從某一資料控管者獲取其資料備
定就其個人資料處理所為具體、肯定、自由、份，並且能夠不受阻礙地將資料轉移到其他
明確、受充分告知及非模糊的指示，例如口頭資料控管者。
或書面之聲明，包括以電子方式為之者。若僅
是如單純沉默、預設選項為同意或不為表示（四）個人資料保護的設計與預設
等，均不構成同意的合法要件。資料控管者應採取符合「設計與預設資料
保護原則」的規範及措施。亦即開發、設計及
（二）資料主體具有刪除權（被遺忘權）選擇用以處理個人資料的應用程式、服務與
資料主體在舊規則下，僅具有更正權或產品時，應將資料保護納入考量，以確保資

修改權，但是新規則賦予其具有刪除其個人料控管者及處理者得以完成其資料保護的義
資料之權利，以及當資料保存違反「一般資務。例如採取將個人資料的處理最小化、假
料保護規則」、歐盟法或會員國法時，享有名化及透明化等措施，讓資料主體得以監控
刪除權（right to erasure）或被遺忘權（right 該資料處理，並使資料控管者得以創造與提
to be forgotten）。例如當該個人資料就資料升資訊安全性。

10 台灣銀行家2018.7月號

1 5% JOEE ɪʹ

5 6 7 8 9 10 11 12 13 14 15